Xây dựng hệ thống thu thập, phân tích, thống kê, báo cáo dữ liệu trao ñổi qua hệ thống trạm trung chuyển VNIX, hệ thống DNS quốc gia

Nghiên cứu, xây dựng hệ thống phần mềm thu thập, lưu trữ, bóc tách, phân tích, thống kê báo cáo số liệu khai thác qua nhật ký VNIX và nhật ký truy vấn DNS quốc gia...67 I.. Sau khi triển

TRUNG TÂM INTERNET VIỆT NAM

M ụ c l ụ c

Mục lục 2

Danh mục các hình vẽ 5

Danh mục các bảng 7

Danh mục các bảng 7

Phần 1 Phân tắch hiện trạng hệ thống DNS quốc gia, VNIX & khả năng khai thác thông tin .10

I Hệ thống DNS quốc gia 10

1 Mô hình hệ thống máy chủ tên miền DNS tại Việt Nam 10

2 Mô hình quản lý không gian tên miền VN 12

3 Hoạt ựộng truy vấn tên miền 13

3.1 Truy vấn tên miền (.VN) 13

3.2 Truy vấn tên miền cấp cao 14

II Hệ thống VNIX .16

1 Vai trò của hệ thống 16

2 Sơ ựồ hệ thống: 16

III Hiện trạng khai thác thông tin truy vấn DNS quốc gia và số liệu trao ựổi qua VNIX .18

1 Hệ thống DNS quốc gia: 18

2 Hệ thống VNIX: 18

3 Vần ựề tồn tại và nhu cầu khai thác thông tin: 21

IV đánh giá khả năng khai thác thông tin 21

1 Khai thác thông tin qua DNS quốc gia 21

2 Khai thác thông tin VNIX: 25

3 Kết luận: 36

Phần 2 Giải pháp xây dựng hệ thống thu thập, lưu trữ nhật ký hệ thống DNS quốc gia và hệ thống VNIX 37

I Giải pháp thu thập log DNS .37

1 Thu thập log trên từng máy chủ DNS 37

2 Sơ ựồ hệ thống thu thập log DNS tập trung 37

II Giải pháp thu thập log VNIX 40

1 Mô hình thu thập, lưu trữ luồng dữ liệu trao ựổi qua VNIX 40

2 Một số phần mềm thu thập và phân tắch netflow: 41

III Các giải pháp lưu trữ, sao lưu 43

1 Giải pháp lưu trữ trực tiếp (Direct Attached Storage - DAS) .44

2 Giải pháp lưu trữ mạng (Network Attached Storage - NAS)44 3 Mạng lưu trữ (Storage Area Network - SAN) 45

4 Giải pháp sao lưu dữ liệu: 47

IV Mô hình tổng thể mạng thu thập, lưu trữ, phân tích, báo cáo dữ liệu .48

1 Các thành phần cơ bản của hệ thống gồm có: 48

2 Sơ ñồ của hệ thống như sau: 48

V Giải pháp phần mềm hệ thống: 50

1 Giải pháp cho phần mềm cơ sở dữ liệu: 52

2 Giải pháp phần mềm máy chủ ứng dụng phân tích số liệu:53 3 Giải pháp phần mềm giao tiếp người dùng (web): 56

VI Phương pháp phân tích dữ liệu 61

1 Tổng quan về khai thác dữ liệu 61

2 ðề xuất phương pháp sử dụng ñể phân tích dữ liệu .65

Phần 3 Nghiên cứu, xây dựng hệ thống phần mềm thu thập, lưu trữ, bóc tách, phân tích, thống kê báo cáo số liệu khai thác qua nhật ký VNIX và nhật ký truy vấn DNS quốc gia 67

I Phân tích số liệu và xây dựng tiêu chí thống kê: 67

1 Số liệu log DNS 67

2 Số liệu log VNIX: 67

3 Xây dựng các tiêu chí thống kê 67

3.1 Các thông tin thống kê từ dữ liệu DNS 68

3.2 Các thông tin thống kê từ dữ liệu log VNIX 69

II Phương pháp thể hiện các con số thống kê .70

1 Phương pháp thể hiện dưới dạng bảng 70

2 Phương pháp thể hiện dưới dạng ñồ thị .71

III Quy trình xử lý dữ liệu thu thập ñược .72

IV Xây dựng mô hình cơ sở dữ liệu cho hệ thống .72

1 Mô hình CSDL phân tích log DNS .72

2 Mô hình CSDL phân tích log VNIX 72

3 Mô hình CSDL dành cho xếp hạng 73

V Các giải pháp công nghệ áp dụng trong hệ thống 74

1 Công nghệ Pooling trong kết nối CSDL 74

2 Công nghệ ñệm dữ liệu OSCache 74

3 Công nghệ lập lịch công việc Quartz .75

4 Công nghệ kết xuất báo cáo JfreeChart 75

5 Công nghệ Struts 76

VI Phân tích, thiết kế hệ thống .77

1 Sơ ñồ chức năng (use case diagram) .77

2 Sơ ñồ tương tác (activity diagram) .80

2.1 Cập nhật ñối tượng trong hệ thống 80

2.2 ðăng nhập hệ thống và thiết lập các tham số khác 81

2.3 Quản lý luồng công việc trong hệ thống 82

VII Giới thiệu sản phẩm hoàn thiện 85

1 đăng nhập hệ thống 85

2 Chức năng cấu hình hệ thống 85

3 Chức năng quản lý công việc trong hệ thống 86

4 Chức năng báo cáo thống kê 87

Phần 4: Triển khai ựánh giá 96

I Nội dung triển khai: 96

1 Mạng, máy chủ, phần mềm: 96

2 Dữ liệu: 99

II đánh giá kết quả 99

1 Hệ thống thu thập dữ liệu 99

2 Hệ thống phân tắch số liệu 100

3 Hệ thống kết xuất báo cáo thống kê 101

V Tồn tại & hướng phát triển tiếp theo 101

1 Tồn tại 101

2 Hướng phát triển, kiến nghị: 101

Kết luận 103

Các từ viết tắt 105

Tài liệu tham khảo .106

Phụ lục 1 Thống kê quá trình thử nghiệm Phụ lục 1-i Phụ lục 2 Mở rộng hệ thống, các giải pháp cân bằng tảiẦẦẦ

Phụ lục 2-i

Phụ lục 3 Tổng thể hệ thống thu thập phân tắch log, thống kê của VNNIC Phụ lục 3-i Phụ lục 4 Các form báo cáo mẫu và số liệu thống kê Phụ lục 4-i

Danh m ụ c các hình v ẽ

Hình 1 Phân bổ máy chủ tên miền quốc gia 10

Hình 2 Phân cấp hệ thống máy chủ tên miền tại Việt nam 11

Hình 3 Truy vấn tên miền VN 12

Hình 4 Truy vấn tên miền quốc gia vn 14

Hình 5 Truy vấn tên miền khác tên miền vn 15

Hình 6 Sơ ñồ hệ thống VNIX 16

Hình 7 Mô hình chuyển mạch VNIX .17

Hình 8 Thống kê số lượng truy vấn tên miền VN 18

Hình 9 Thống kê lưu lượng qua lại VNIX theo từng IXP .20

Hình 10 Ví dụ thống kê dịch vụ trao ñổi .20

Hình 11 Ví dụ thống kê theo IP trao ñổi .21

Hình 12 Ví dụ kết quả truy vấn tên miền 24

Hình 13 Nhật ký truy vấn trên DNS 25

Hình 14 Kết nối TCP qua net .28

Hình 15 Cấu trúc gói tin netflow 29

Hình 16 Thu thập log DNS tập trung 38

Hình 17 Mô hình thu thập log qua syslog 39

Hình 18 Thu thập log VNIX tập trung 41

Hình 19 Mạng lưu trữ SAN .45

Hình 20 Giải pháp sao lưu SAN 48

Hình 21 Hệ thống lưu trữ phân tích log DNS, VNIX 48

Hình 22 Kết nối SAN thông qua 02 SAN switch 49

Hình 23 SAN có dự phòng 49

Hình 24 Nhân bản dữ liệu phục vụ phân tích, báo cáo .50

Hình 25 Công nghệ nền tảng Java 1.4.2 51

Hình 26 Mô hình kiến trúc 3 lớp 52

Hình 27 Quản trị Sun Application server 55

Hình 28 Quản trị Sun Web server 57

Hình 29 So sánh Sun Web server và các phần mềm khác -1 57

Hình 30 So sánh Sun Web server và các phần mềm khác - 2 58

Hình 31 So sánh Sun Web server và các phần mềm khác - 3 58

Hình 32 So sánh Sun Web server và các phần mềm khác - 4 58

Hình 33 So sánh Sun Web server và các phần mềm khác - 5 59

Hình 34 So sánh Sun Web server và các phần mềm khác - 6 59

Hình 35 Quy trình khai thác dữ liệu 62

Hình 36 Ví dụ mẫu về phân bổ lượng truy vấn các máy chủ 68

Hình 37 Mô hình CSDL cho DNS 72

Hình 38 Mô hình CSLD cho VNIX 73

Hình 39 Mô hình CSDL cho xếp hạng 73

Hình 40 Mô hình Connection Pooling 74

Hình 41 Một số ví dụ về công cụ JFreeChart 76

Hình 42 ðăng nhập hệ thống 77

Hình 43 Thay ñổi thông tin nguồn dữ liệu log 77

Hình 44 Thay ñổi thông tin tên miền cấp 2 78

Hình 45 Thay ñổi thông tin tên miền xác ñịnh trước 78

Hình 46 Thay ñổi thông tin dịch vụ mạng 78

Hình 47 Thay ñổi thông tin về dải IP 79

Hình 48 Thay ñổi thông tin DNS Server 79

Hình 49 Thay ñổi thông tin ñịa chỉ IP xác ñịnh 79

Hình 50 Thay ñổi thông tin bản ghi DNS 80

Hình 51 Thay ñổi thông tin AS 80

Hình 52 Quá trình cập nhật ñối tượng trong hệ thống 81

Hình 53 Quá trình ñăng nhập hệ thống 82

Hình 54 Cung cấp nguồn dữ liệu cho hệ thống 82

Hình 55 Khởi tạo công việc trong hệ thống 83

Hình 56 Phân tích số liệu thống kê 84

Hình 57 Giao diện ñăng nhập hệ thống 85

Hình 58 Một chức năng cấu hình của hệ thống 86

Hình 59 Quản lý lập lịch trong hệ thống 87

Hình 60 Tạo một công việc trong hệ thống 87

Hình 61 Thống kê lượng truy vấn DNS ñến các AS theo thời gian .88

Hình 62 Biểu ñồ thể hiện số liệu truy vấn DNS của từng AS theo thời gian 89

Hình 63 Ví dụ thống kê truy vấn DNS theo năm 90

Hình 64 Thống kê truy vấn DSN theo từng máy chủ 90

Hình 65 Biểu ñồ thể hiện lượng truy vấn theo ñuôi tên miền 91

Hình 66 Xếp hạng các tên miền theo số truy vấn 91

Hình 67 Các loại bản ghi tương ứng với tên miền fpt.vn 92

Hình 68 Biểu ñồ, số liệu lượng truy vấn VNIX qua các năm 92

Hình 69 Số liệu truy vấn VNIX qua các tháng 93

Hình 70 Thống kê AS chi tiết theo thời gian 93

Hình 71 Thống kê trao ñổi giữa các AS 94

Hình 72 Thống kê các dịch vụ trao ñổi theo thời gian và AS 94

Hình 73 Xếp hạng các dịch vụ ñược truy vấn 95

Hình 74 Sơ ñồ triển khai UML (Deployment diagram) 96

Hình 75 Triển khai các máy chủ trong hệ thống 98

Hình 76 Triển khai hệ thống phân tích 99

Danh m ụ c các b ả ng

Bảng 1 Cấu trúc thông tin netflow -1 33

Bảng 2 Cấu trúc thông tin netflow -2 34

Bảng 3 Cấu trúc thông tin netflow -3 34

Bảng 4 Cấu trúc thông tin netflow -4 35

Bảng 5 Cấu trúc thông tin netflow -5 35

Bảng 6 Cấu trúc thông tin netflow -6 35

Bảng 7 Cấu trúc thông tin netflow -7 36

Bảng 8 So sánh các phần mềm netflow 42

Bảng 9 So sánh P/SQL và T-SQL 53

Bảng 10 Số liệu log DNS sử dụng trong phân tích 67

Bảng 11 Số liệu về thời gian tiền xử lý của các file dữ liệu 100

Bảng 12: Số liệu về thời gian phân tích file dữ liệu 100

Mở ựầu

Hiện nay trên thế giới hiện hệ thống chuyển mạch Internet trong nước ựã

ựược xây dựng ở nhiều quốc gia trên thế giới, hệ thống này giúp việc trao ựổi Internet trong nước giữa các IXP ựược nhanh chóng và hiệu quả, tiết

kiệm băng thông quốc tế Sau khi triển khai hệ thống này, các IXP ựều cần ựến một hệ thống thu thập, khai thác số liệu trao ựổi qua IX (Internet Exchange), thông qua ựó có thể ựánh giá ựược hoạt ựộng của hệ thống cũng như ựưa ra ựược những con số thống kê, dự báo tình hình sử dụng Internet và lên kế hoạch phát triển sau này Bên cạnh hệ thống chuyển mạch VNIX, hệ thống DNS ựược coi là hệ thống trung tâm của các dịch

vụ trên nền Internet, trong ựó tên miền là ựiểm khởi ựầu của việc truy cập các dịch vụ Internet Thông qua hệ thống DNS, hoàn toàn có thể khai thác, ựánh giá ựược tình hình sử dụng tên miền theo các tiêu chắ khác nhau cũng như nhu cầu của người dùng Internet Các nhà khai thác DNS lớn như Root server, Verisign, Network Sollution, các NIC lớnẦ ựều tiến hành xây dựng những hệ thống thu thập số liệu, sau ựó tiến hành phân tắch ựể ựưa ra ựược những con số ựầy ý nghĩa trong việc khai thác hệ thống cũng như phục vụ các công tác, xã hội, kinh doanh khác

Trung tâm Internet Việt Nam ựã xây dựng hệ thống trung chuyển Internet trong nước tại 02 ựiểm là Hà Nội và TP.HCM, tắnh ựến thời ựiểm này ựã

có tất cả 10 thành viên kết nối vào 2 ựiểm VNIX, ở Hà nội có 4 ựơn vị là VPNT, FPT, Vietel, VPT), ở HCM có 6 ựơn vị là VPNT, FPT, Vietel, VPT, SPT, HNPTNET Lưu lượng dữ liệu trao ựổi qua lại VNIX trong một ngày là rất lớn Chúng ta có thể khai thác dữ liệu trao ựổi qua lại VNIX ựể ựưa ra ựược các con số thống kế về lưu lượng, dịch vụ, người dùng Internet trong nướcẦ

đối với hệ thống DNS quốc gia, hiện nay Trung tâm ựã xây dựng hoàn

thiện hệ thống DNS quốc gia tại 5 ựiểm bố trắ tại 03 vùng tại Việt Nam là: Hà Nội, TP Hồ Chắ Minh và đà Nẵng Hệ thống này là trái tim của Internet Việt Nam, quản lý toàn bộ tên miền vn, hỗ trợ người dùng Internet trong nước truy cập tên miền vn cũng như tên miền quốc tế,

ựồng thời hỗ trợ người dùng Internet quốc tế truy nhập tên miền vn Lưu

lượng dữ liệu truy vấn tên miền vào hệ thống DNS quốc gia trong 1 ngày

là rất lớn Chúng ta có thể khai thác dữ liệu này ựể ựưa ra ựược các con số thống kế về lưu lượng, dịch vụ, tên miền, người dùng Internet trong nướcẦ

Những con số này là nguồn tài nguyên phong phú mà chúng ta có ựược,

vì vậy việc xây dựng hệ thống thu thập phân tắch số liệu truy vấn tên

miền vào hệ thống DNS quốc gia và các số liệu trao ñổi qua lại VNIX vào thời ñiểm này là hết sức cần thiết và hợp lý ñể ñáp ứng yêu cầu khai thác hiệu quả mạng lưới và thống kê tình hình sử dụng phát triển Internet tại Việt Nam

Việc nghiên cứu xây dựng hệ thống, phần mềm thu thập, lưu trữ, phân tích, báo cáo thống kê dựa trên việc khai thác dữ liệu trao ñổi qua VNIX và hệ thống DNS quốc gia là nhu cầu cấp thiết trong thời ñiểm hiện nay, giúp cho việc quản lý khai thác hệ thống VNIX, hệ thống DNS quốc gia cũng như thống kê, dự báo tình hình phát triển Internet tại Trung tâm Internet Việt Nam ñạt hiệu quả cao hơn

Ph ầ n 1 Phân tắch hi ệ n tr ạ ng h ệ th ố ng DNS qu ố c gia, VNIX & kh ả n ă ng khai thác thông tin

I Hệ thống DNS quốc gia

1 Mô hình hệ thống máy chủ tên miền DNS tại Việt Nam

Hệ thống DNS quốc gia do Trung tâm Internet Việt Nam quản lý có nhiệm vụ quản lý không gian tên miền cấp quốc gia vn Hệ thống DNS quốc gia có nhiệm vụ tiếp nhận và trả lời các truy vấn tên miền vn

Hiện tại hệ thống tên miền quốc gia gồm 5 cụm máy chủ ựặt trong nước (2 cụm tại thành phố Hồ Chắ Minh; 2 cụm tại Hà Nội và 1 cụm ựặt tại đà Nẵng), 4 cụm máy chủ ựặt ở nước ngoài (tại Mỹ, Nhật, Úc và Hà Lan)

HA NOI

LAO CAI LAI CHAU YEN BAI SON LA CAO BANG BAC CAN LANG SON THAI NGUYEN

HA LONG HAI PHONG THAI BINH THANH HOA NGHE AN VINH DONG HA HUE

DA NANG KON TUM PLEIKU QUI NHON BUON MA THUOT NHA TRANG

DA LAT PHAN RANG

HO CHI MINH VUNG TAU TAY NINH CAO LANH CAN THO

CA MAU

Hình 1 Phân bổ máy chủ tên miền quốc gia

Hệ thống máy chủ DNS của các ISP, IXP có nhiệm vụ tiếp nhận và xử lý các truy vấn tên miền (gồm cả các tên miền vn và tên miền khác) Với các tên miền vn, hệ thống máy chủ tên miền của các ISP, IXP sẽ truy vấn lên hệ thống máy chủ root server và hệ thống máy chủ tên miền quốc gia

ựể tìm kiếm thông tin và trả lời truy vấn đối với các tên miền thông

thường (tên miền cấp cao, tên miền của các quốc gia khác), hệ thống máy

chủ tên miền này sẽ truy vấn lên hệ thống máy chủ root và các máy chủ tên miền khác ñược ñặt ở nước ngoài ñể tìm kiếm kết quả

Server

Server

Server Server

Server Server

Người dùng Internet

HỆ THỐNG MÁY CHỦ DNS CỦA CÁC ISP/IXP

CỤM MÁY CHỦ TÊN MIỀN

QUỐC GIA TẠI TP.HCM

Người dùng Internet

Hình 3 Truy vấn tên miền VN

2 Mô hình quản lý không gian tên miền VN

Không gian tên miền vn ñược quản lý theo cơ chế phân cấp và chuyển giao Các tên miền cấp 2 và cấp 3 thuộc hệ thống tên miền vn sẽ ñược lưu giữ trên hệ thống tên miền quốc gia Các tên miền cấp 3 và cấp 4 sẽ

ñược lưu giữ tại các hệ thống máy chủ ñược chuyển giao, phần lớn các

máy chủ ñược chuyển giao này là các máy chủ của các ISP, IXP trong nước Như vậy hầu hết các tên miền quốc gia của Việt nam do các máy chủ tên miền trong nước quản lý

3 Hoạt ñộng truy vấn tên miền

Hoạt ñộng truy vấn tên miền tại Việt Nam gồm 2 loại: truy vấn tên miền cấp quốc gia và truy vấn tên miền khác (tên miền cấp cao và tên miền của các quốc gia khác)

3.1 Truy vấn tên miền (.VN)

Khi người dùng Internet Việt Nam thực hiện truy vấn tên miền vn Ví dụ:

home.vnn.vn quá trình truy vấn tên miền sẽ diễn ra như sau:

1 Chương trình trên máy người sử dụng (trình duyệt) sẽ truy vấn hệ thống máy chủ tên miền của ISP mà người dùng kết nối

2 Hệ thống máy chủ tên miền của ISP sẽ tiếp nhận và gửi truy vấn này lên hệ thống máy chủ Root Server ñể tìm kiếm máy chủ quản lý tên miền home.vnn.vn

3 Hệ thống máy chủ Root Server nhận ñược truy vấn và tiến hành tìm kiếm trong cơ sở dữ liệu tên miền ñể trả lời Căn cứ theo dữ liệu ñã có, máy chủ Root Server sẽ trả lời cho máy chủ của ISP các thông tin (ñịa chỉ IP, tên máy chủ) của máy chủ thuộc hệ thống máy chủ tên miền quốc gia vn

4 Hệ thống máy chủ ISP sẽ truy vấn máy chủ quản lý các tên miền quốc gia ñể tìm kiếm thông tin về tên miền home.vnn.vn

5 Hệ thống máy chủ tên miền quốc gia sẽ tiến hành tìm kiếm dữ liệu và cung cấp thông tin cho máy chủ ISP về máy chủ quản lý tên miền vnn.vn Ở ñây là máy chủ của VDC

6 Hệ thống máy chủ của ISP sẽ truy vấn máy chủ của VDC ñể tìm kiếm

ñịa chỉ trang web home.vnn.vn

7 Máy chủ của VDC quản lý không gian tên miền vnn.vn nên nó có thông tin về ñịa chỉ của tên miền home.vnn.vn và tiến hành cung cấp

ñịa chỉ IP này cho hệ thống DNS của ISP

8 Hệ thống DNS của ISP trả lời người sử dụng ñịa chỉ IP của máy chủ

có trang web home.vnn.vn

9 Người sử dụng dùng ñịa chỉ này ñể truy cập vào trang web

home.vnn.vn

Hình 4 Truy vấn tên miền quốc gia vn

3.2 Truy vấn tên miền cấp cao

Quá trình truy vấn tên miền cấp cao (ví dụ www.yahoo.com) sẽ gồm các bước sau:

1 Truy vấn hệ thống máy chủ tên miền của ISP người sử dụng

2 Nếu có cơ sở dữ liệu của tên miền yahoo hệ thống máy chủ ISP sẽ trả lời, còn nếu không có nó sẽ truy vấn máy chủ Root Server

3 Hệ thống Root Server không có cơ sở dữ liệu này nhưng nó có chứa

cơ sở dữ liệu của máy chủ tên miền quản lý COM Root Server sẽ gửi cho máy chủ ISP ñịa chỉ của máy chủ quản lý các tên miền COM ñể máy chủ ISP truy vấn

4 Hệ thống máy chủ ISP truy vấn máy chủ quản lý tên miền COM ñịa chỉ của trang web www.yahoo.com

5 Máy chủ quản lý tên miền COM sẽ trả lời ñịa chỉ www.yahoo.com

vì nó có cơ sở dữ liệu này

6 Hệ thống máy chủ tên miền ISP sẽ trả lời người sử dụng ñịa chỉ trang web www.yahoo.com

7 Người sử dụng dùng ñịa chỉ này ñể truy cập trang web

www.yahoo.com thông qua ñịa chỉ vừa nhận ñược

Hình 5 Truy vấn tên miền khác tên miền vn

ðặc ñiểm:

Trong quá trình truy vấn tên miền TLD (ngoài tên miền VN) tất cả các quá trình của hệ thống máy chủ tên miền ISP ñều phải thực hiện các truy vấn với các máy chủ ở nước ngoài (Root Server, ñến truy vấn các máy chủ quản lý các tên miền cấp hai, máy chủ web của các trang web có tên miền TLD không phải là VN ) ñể tìm kiếm kết quả

Qua phân tích ta thấy, hệ thống DNS quốc gia sẽ nhận ñược các thông tin truy vấn DNS từ khách hàng trong nước và nước ngoài, các tên miền

ñược truy vấn có thể là tên miền VN, có thể là tên miền quốc tế

II Hệ thống VNIX

1 Vai trò của hệ thống

Trạm trung chuyển VNIX ñược VNNIC xây dựng và duy trì từ tháng 11/2003 ñến nay ñã thu ñược nhiều kết quả quan trọng, giải quyết dứt

ñiểm tình trạng nghẽn mạng, góp phần nâng cao khả năng quản lý và cấu

trúc hạ tầng mạng Internet ở Việt Nam, cụ thể như sau:

- Khẳng ñịnh vai trò ñiều tiết về kết nối Internet của Bộ BCVT

- ðảm bảo cho mạng lưới Internet của các doanh nghiệp IXP Việt

Nam hoạt ñộng thông suốt, không bị gián ñoạn dịch vụ trong cả trường hợp kết nối Internet quốc tế gặp sự cố

- Nâng cao chất lượng sử dụng dịch vụ Internet

- Giảm chi phí thuê kênh Internet và truyền dẫn quốc tế

- Tăng cường khả năng và tính sẵn sàng của hệ thống DNS quốc gia

100Mbps Optical Fiber

1000Mbps Optical Fiber

1000Mbps Optical Fiber

100Mbps Optical Fiber

Peering

100Mbps Optical Fiber

1000Mbps Optical Fiber 1000Mbps Optical Fiber

100Mbps Optical Fiber

100Mbps Optical Fiber

Peering Peering

Peering

Peering

Peering Peering

Peering Peering

Peering

Hình 6 Sơ ñồ hệ thống VNIX

Sơ ñồ trên mô tả hệ thống mạng VNIX ñược xây dựng tại 2 ñiểm Hà Nội

và thành phố Hồ Chí Minh trên cơ sở sử dụng các trang thiết bị dự phòng của mạng DNS quốc gia, do nhu cầu trao ñổi lưu lượng qua VNIX và số các doanh nghiệp kết nối với VNIX tăng nhanh, năm 2005 Trung tâm VNNIC ñã hoàn thành dự án ñầu tư và xây lắp trang thiết bị cho hệ thống chuyển mạch trung tâm và quản lý ñiều hành mạng

ðến tháng 10/2006, tại Hà Nội có 4 IXP, tại TP.HCM có 6 IXP kết nối

vào hệ thống VNIX

Hệ thống VNIX hiện nay ñã ñáp ứng ñược mọi nhu cầu trung chuyển trao

ñổi lưu lượng Internet trong nước, có khả năng mở rộng tuỳ theo nhu cầu

phát triển Toàn bộ hệ thống ñược theo dõi, quản lý ñiều hành và giám sát tập trung

Hệ thống VNIX ñã sẵn sàng cho việc kết nối với hệ thống DNS quốc gia; với hệ thống root server ñể tăng cường chất lượng dịch vụ DNS Dịch vụ tên miền là dịch vụ cơ bản, quan trọng và khởi tạo trong mọi tiến trình kết nối TCP/IP

Hệ thống VNIX là ñiểm tập trung kết nối giữa các doanh nghiệp, nơi có lưu lượng cao và quãng ñường ñến các doanh nghiệp ngắn nhất Do vậy thông qua VNIX sẽ là thuận lợi nhất cho việc triển khai các dịch vụ công ích; dịch vụ y tế; giáo dục; ñào tạo; thử nghiệm công nghệ mạng mới…

Nguyên lý hoạt ñộng:

Hình 7 Mô hình chuyển mạch VNIX

Thông tin ñịnh tuyến qua VNIX do máy chủ quản lý ñịnh tuyến route server (RS) quản lý và thực hiện việc trao ñổi thông tin ñịnh tuyến với các bộ ñịnh tuyến biên của các doanh nghiệp IXP kết nối với VNIX; trong khi ñó lưu lượng Internet ñược lưu chuyển trực tiếp giữa các bộ

ñịnh tuyến biên của các doanh nghiệp, lưu lượng Internet không ñi qua

máy chủ quản lý ñịnh tuyến RS Với mô hình RS, doanh nghiệp kết nối

với VNIX chỉ thiết lập duy nhất một kết nối eBGP ngang hàng (peering) với RS do VNNIC quản lý

III Hiện trạng khai thác thông tin truy vấn DNS quốc gia và số liệu trao ñổi qua VNIX

1 Hệ thống DNS quốc gia:

Hiện nay VNNIC mới chỉ khai thác, ñánh giá ñược tổng số truy vấn tên miền ñến các máy chủ DNS, phân chia theo tên miền vn và tên miền không phải vn

BÁO CÁO TÌNH HÌNH HOẠT ðỘNG

DNS TỪ 30/9/2006 - 30/9/2006

ðơn vị: số query

Server "dns-dth-cluster.vnnic.net.vn"

Domai n

Hình 8 Thống kê số lượng truy vấn tên miền VN

Những con số trên có ñược bằng cách thống kê số lượng truy vấn tên miền qua nhật ký truy vấn của từng máy chủ DNS Việc phân tích thống

kê sâu hơn hoàn toàn chưa thu thập và phân tích ñược, chẳng hạn: tỉ lệ số truy vấn theo từng loại tên miền, theo từng tên miền (trong số tên miền VNNIC ñã cấp, loại dịch vụ nào (A, MX, NS, CNAME) ñược truy vấn nhiều nhất, ñánh giá xếp hạng tên miền, dịch vụ là hoàn toàn chưa làm

ñược

2 Hệ thống VNIX:

Với hệ thống VNIX, hiện nay VNNIC mới chỉ khai thác ñược tổng lượng thông tin trao ñổi từ vào ra của 01 IXP, dưới ñây là biểu ñồ lưu lượng vào

ra tại Router gateway của FPT:

"Daily" Graph (5 Minute Average)

"Weekly" Graph (30 Minute Average)

"Monthly" Graph (2 Hour Average)

"Yearly" Graph (1 Day Average)

Hình 9 Thống kê lưu lượng qua lại VNIX theo từng IXP

Số liệu trên thu thập bằng công cụ MRTG (dựa trên nền tảng của giao thức giám sát mạng SNMP) Ngoài thông tin trên các thông tin về dịch vụ hoàn toàn chưa khai thác ựược do ựó chưa có một cái nhìn sâu về hoạt

ựộng trao ựổi lưu lượng qua VNIX Như chúng ta ựã biết, Internet có rất

nhiều dịch vụ (web, mail, ftp, voice, video Ầ ) Vậy thì câu hỏi ựặt ra là dịch vụ nào ựược trao ựổi qua VNIX, tỉ lệ thế nàoẦ.? chẳng hạn:

- Theo dõi dịch vụ trao ựổi:

Hình 10 Vắ dụ thống kê dịch vụ trao ựổi

- đánh giá IP nào ựược truy cập nhiều nhất:

Hình 11 Vắ dụ thống kê theo IP trao ựổi

3 Vần ựề tồn tại và nhu cầu khai thác thông tin:

- Hệ thống DNS của VNNIC là hệ thống DNS quốc gia, toàn bộ truy vấn ựược tập trung vào hệ thống này do ựó chúng ta có thể thu thập

ựược rất nhiều thông tin qua nhật ký DNS: chẳng hạn: mức ựộ sử

dụng tài nguyên Internet, tên miền nào ựược truy cập nhiều, thói quen người dùng Internet vào các thời ựiểm, vị trắ ựịa lý.Và ựặc biệt hơn là qua ựó có thể phát hiện sớm các cuộc tấn công vào hệ thống mạng

- Hệ thống VNIX ựóng vai trò trung chuyển Internet trong nước giữa các IXP, các giao dịch của khách hàng ựều qua hệ thống này Nhưng hiện nay con số duy nhất chúng ta biết ựược là tổng băng thông truyền qua lại giữa các IXP, chúng ta hoàn toàn chưa biết

ựược số ựằng sau tổng băng thông ựó thì dịch vụ gì, thời ựiểm nào

người dùng truy nhật nhiều nhất, truy nhập dịch vụ của IXP nào

có thể ựánh giá tốt hơn quá trình cung cấp tên miền tiếng Việt, mức

ựộ phổ dụng của chương trình này

- Có rất nhiều tiêu chắ cần thiết phải khai thác phục vụ công việc

nghiệp vụ cũng như xây dựng kế hoạch phát triển lâu dài Hiện nay

chúng ta mới khai thác ựược rất ắt thông tin, trong phần tiếp theo chúng ta sẽ ựi sâu vào phân tắch kỹ hơn về khả năng khai thác thông tin qua hệ thống DNS quốc gia và trạm trung chuyển Internet trong nước VNIX

IV đánh giá khả năng khai thác thông tin

1 Khai thác thông tin qua DNS quốc gia

Trước hết chúng ta xem xét cấu trúc của bản ghi truy vấn DNS và thông tin ựược DNS server trả về:

Bản tin truy vấn DNS

Tất cả các trường thông tin trong bản ghi truy vấn DNS ñều có kích thước ñịnh trước, ngoại trừ trường thông tin tên miền, bởi vì tên miền

có chiều dài thay ñổi trong kích thước ñịnh trước

Bản tin trả lời truy vấn DNS

Sử dụng lệnh nslookup (DNS client) ñể truy vấn tên miền

www.firewall.cx trên máy chủ caching của VNNIC ở chế ñộ debug

C:\Documents and Settings\Nguyen Hong Thang>nslookup

Default Server: nscache1.vnnic.net.vn

opcode = QUERY, id = 2, rcode = NOERROR

header flags: query, want recursion

questions = 1, answers = 0, authority records = 0, additional = 0

Hình 12 Ví dụ kết quả truy vấn tên miền

Phần mềm DNS server ghi lại nhật ký truy vấn:

HEADER:

opcode = QUERY, id = 2, rcode = NOERROR

header flags: response, want recursion, recursion avail

questions = 1, answers = 2, authority records = 2, additional = 2

QUESTIONS:

www.firewall.cx, type = A, class = IN

ANSWERS:

-> www.firewall.cx

type = CNAME, class = IN, dlen = 2

canonical name = firewall.cx

"3. -Log BIND 9.3.1

" Apr 7 09:04:11 local@dns2 named[20802]: [ID 866145 daemon.info] 07-Apr-2006 09:04:11.387queries: info: client 203.119.8.108#40356: query: 107.36.119.203.in- addr.arpa IN PTR”

Hình 13 Nhật ký truy vấn trên DNS

Qua ñó ta thấy hệ thống DNS server ghi lại truy vấn tên miền của khách hàng gồm các trường thông tin chính sau:

- Thời gian

- Tên máy chủ bị truy vấn

- ðịa chỉ IP của máy khách (client)

- Kiểu bản ghi truy vấn

- Tên miền truy vấn

Các thông tin này hoàn toàn tuân thủ cấu trúc của bản tin truy vấn DNS ta

ñã phân tích ở trên Những thông tin này là nguồn thông tin hữu ích mà

hiện nay chúng ta chưa tiến hành thu thập, phân tích một cách ñầy ñủ và hiệu quả

2 Khai thác thông tin VNIX:

TCP/IP là bộ giao thức cơ bản của mạng Internet, các máy tính khi kết nối với nhau ñều sử dụng bộ giao thức này, các máy tính kết nối qua VNIX cũng phải sử dụng bộ giao thức này, chúng ta hãy xem xét cấu trúc gói tin IP

1 VERS (Version)

Trường Vers chiếm 4 bit, cho biết số Version (phiên bản) của IP ñược cài ñặt hiện thời

2 H.LEN (Header Length)

Trường H.LEN chiếm 4 bit, cho biết chiều dài của phần Header ðơn

vị tính là từ Word (32 bit)

3 SERVICE TYPE

Trường này chiếm 8 bit, ñặc tả các tham số về dịch vụ Khuôn dạng của trường Service type ñược chỉ ra ở hình 13 dưới ñây

8 bit của trường Service type ñược chia làm 5 phần:

 Precedence: Chiếm 3 bit Chỉ thị quyền ưu tiên gửi Datagram Các mức ưu tiên từ 0 (bình thường) ñến mức cao nhất là 7 (ñiều khiển mạng) Cho phép người sử dụng chỉ ra tầm quan trọng của các Datagram

 Ba bit D, T, R nói lên kiểu truyền Datagram, cụ thể như sau:

Bit D (Delay) chỉ ñộ trễ yêu cầu

D = 0 chỉ ñộ trễ bình thường

D = 1 chỉ ñộ trễ thấp

Bit T (Throughput) chỉ thông lượng yêu cầu

T = 0 chỉ thông lượng bình thường

T = 1 chỉ thông lượng cao

Bit R (Reliability)

R = 0 chỉ ñộ tin cậy bình thường

R = 1 chỉ ñộ tin cây cao Khi truyền Datagram trên mạng, người sử dụng luôn mong muốn có ñược ñộ trễ thấp (D = 1), thông lượng cao (T = 1) và ñộ tin cậy cao (R = 1) ñể dữ liệu có thể ñược truyền mà không bị lỗi,

bị quẩn, mất hay nhầm ñịa chỉ

 Unused: chiếm 2 bit, chưa ñược sử dụng

6 FLAGS

Trường Flags chiếm 3 bit, liên quan ñến sự phân ñoạn (Fragmentation)

7 FRAGMENT OFFSET

Trường này chiếm 13 bit Cho biết vị trí của ñoạn (sau khi Datagram

ñã ñược phân ñoạn) trong một Datagram ðơn vị tính là 64 bit (8

byte)

8 TIME TO LIVE

Trường Time to live chiếm 3 bit Cho biết thời gian tồn tại của Datagram trên liên mạng Cần phải xác ñịnh một thời gian tồn tại của Datagram ñể tránh tình trạng Datagram bị truyền quẩn trên liên mạng

Nếu sau một khoảng thời gian bằng thời gian sống mà Datagram vẫn chưa ñến ñược ñích thì nó sẽ bị huỷ ðơn vị tính của TIME TO LIVE

là giây

9 PROTOCOL

Trường này chiếm 8 bit Cho biết giao thức tầng trên kế tiếp sẽ nhận

dữ liệu ở trạm ñích Giao thức tầng trên của IP thường là TCP hay là UDP

10 HEADER CHECKSUM

Trường Header Checksum chiếm 16 bit trong phần Header của IP Datagram ðây là mã kiểm soát lỗi 16 bit theo phương pháp CRC (Cyclic Redundancy Code) cho vùng Header nhằm phát hiện các lỗi của Datagram như truyền không ñúng ñịa chỉ chẳng hạn

13 IP OPTIONS

Trường IP OPTIONS có thể có hay không Trường này ñể khai báo các Option do người sử dụng yêu cầu Chiều dài của IP OPTIONS phụ thuộc vào chính các Option ñược lựa chọn

14 PADDING

Padding là một vùng ñệm, có ñộ dài thay ñổi ñể ñảm bảo cho phần Header luôn kết thúc tại một mốc 32 bit Giá trị của Padding gồm toàn bit 0

15 DATA

Data là vùng chứa dữ liệu của IP Datagram Kích thức của trường này thay ñổi, phụ thuộc vào dữ liệu ñược chứa trong Datagram Kích thước tối ña của trường Datagram là 65535 Byte và có giá trị là bội số của 8 bit

Xem xét cụ thể trường hợp 02 máy tính kết nối với nhau bằng dịch vụ ssh (secure shell)

S d ụ ng tcpdump ñể theo dõi quá trình trao ñổ i: (tcpdump –p tcp)

10:56:40.381910 adsl-dynamic-pool-xxx.fpt.vn.23983 > 203.9.10.40.http: ack 12421 win 65535 (DF)

10:56:40.381921 203.9.10.40.http > xxx.fpt.vn.23983: 22081:23461(1380) ack 278 win 8576 (DF)

adsl-dynamic-pool-10:56:40.381928 203.9.10.40.http >

adsl-dynamic-pool-xxx.fpt.vn.23983: 23461:24841(1380) ack 278 win 8576 (DF)

10:56:40.426660 203.9.7.6.8768 > 203.9.10.40.58264: P 2094:2157(63) ack 2734 win 49232 <nop,nop,timestamp 212789445 351971828> (DF)

10:56:40.426714 203.9.10.40.58264 > 203.9.7.6.8768: P 2734:2749(15) ack 2157 win 9768 <nop,nop,timestamp 351971837 212789445> (DF)

10:56:40.426914 203.9.7.6.8768 > 203.9.10.40.58264: P 2157:2168(11) ack 2749 win 49232 <nop,nop,timestamp 212789445 351971837> (DF)

10:56:40.427063 203.9.10.40.58264 > 203.9.7.6.8768: P 2749:2889(140) ack 2168 win 9768 <nop,nop,timestamp 351971837 212789445> (DF)

10:56:40.428713 203.9.7.6.8768 > 203.9.10.40.58264: P 2168:2213(45) ack 2889 win 49232 <nop,nop,timestamp 212789445 351971837> (DF)

10:56:40.428755 203.9.10.40.58264 > 203.9.7.6.8768: P 2889:2911(22) ack 2213 win 9768 <nop,nop,timestamp 351971838 212789445> (DF)

10:56:40.428970 203.9.7.6.8768 > 203.9.10.40.58264: P 2213:2282(69) ack 2911 win 49232 <nop,nop,timestamp 212789445 351971838> (DF)

10:56:40.429061 203.9.10.40.58264 > 203.9.7.6.8768: P 2911:2968(57) ack 2282 win 9768 <nop,nop,timestamp 351971838 212789445> (DF)

28 packets, 728 byte + IP/TCP overhead

Qua ví dụ trên ta thấy các thông tin có thể xem ñược là:

- Các thông tin phụ khác: số gói tin, số byte trao ñổi …

Trong trường hợp 02 máy tính kết nối với nhau qua 01 Router thì Router

ñóng vai trò ñịnh tuyến gói tin IP, Router sẽ có ñầy ñủ thông tin theo cấu

trúc ở trên

Hình 14 Kết nối TCP qua net

Với các router gateway của hệ thống VNIX, còn có các thông tin ñịnh tuyến: AS nguồn ñích, next-hop, interface …

ðể có thể lấy ñược thông tin trao ñổi trên mạng VNIX, cách tốt nhất hiện

nay là sử dụng netflow Trên thế giới netflow ñược dùng rất phổ biến trong việc xử lý access-list và thu thập số liệu trên thiết bị ñịnh tuyến Netflow cho phép ta lấy rất nhiều thông tin theo một format (dạng thức) rất dễ hiểu, dễ phân tích và chính xác: loại thông tin ñi vào hoặc ñi ra của

01 IXP, ISP kết nối IX, luồng dữ liệu trao ñổi giữa các mạng có số hiệu mạng khác nhau, hỗ trợ tính cước dựa trên lưu lượng, dịch vụ …

Netflow kiết xuất thông tin về luồng dữ liệu thông qua UDP và có nhiều dạng thức theo các phiên bản khác nhau:

- Version 1 (V1) là phiên bản ñầu tiên của Netflow

- Version 5 (V5) ñược nâng cấp với việc bổ xung thông tin số hiệu mạng và số thứ tự flow (flow sequence number)

- Version 6 (V6) tương tự version 7, hiện version này không ñược sử dụng nữa

- Version 7 (V7) nâng cấp lên ñể hỗ trợ các thiết bị chuyển mạch dòng 5000 series, nhưng lại không hỗ trợ các Cisco Router

- Version 8 (V8) ñược nâng cấp ñể hỗ trợ mô hình router-based aggregation

- Version 9 (V9) là phiên bản mới nhất hỗ trợ Multicast, IPSec, MPLS

- Versions 2, 3 và 4 không ñược ñưa ra

Hình 15 Cấu trúc gói tin netflow

Netflow sử dụng sequence number ñể giám sát việc kiết xuất thông tin ra thiết bị, phần mềm thu thập, ñồng thời với cơ chế “router-based aggregation” ñể giảm lượng thông tin kiết xuất ra thiết bị thu thập

Hiện nay việc sử dụng phiên bản 5 và 9 rất phổ biến, phiên bản này ñược nhóm làm việc (Working Group -WG) về kiết xuất thông tin IP của IETF (IP Information Export -IPFIX) và IETF Pack Sampling (PSAMP) lấy làm nền tảng ñể xây dựng các tiêu chuẩn của họ

Dưới ñây là một số RFC liên quan ñến việc giám sát luồng dữ liệu và phân tích dữ liệu từ các luồng này

• RFC 2720 - Traffic Flow Measurement: Meter MIB

• RFC 3334 - Policy-Based Accounting

• RFC 3917 - Requirements for IP Flow Information Export (IPFIX)

• RFC 3954 - Cisco Systems NetFlow Services Export Version 9

• RFC 3955 - Candidate Protocols for IP Flow Information Export (IPFIX)

Việc cấu hình netflow trên các thiết bị ñịnh tuyến rất ñơn giản, hiện nay các thiết bị ñều hỗ trợ netflow

Với các thiết bị Cisco system:

ip flow-export source loopback 0

ip flow-aggregation cache prefix

export destination 10.0.0.10 5555

enabled

,203.162.3.147,0,29,16,60963,6,0,0,0,22,24086,0

1159203005,251253486,2115774536,4,7,1157,2115747649,2115757798,0,10,1 25.235.244.125,222.255.122.98

,203.162.3.142,0,29,16,80,6,0,0,0,22,7552,0

1159203005,251253486,2115774536,4,3,144,2115746759,2115755767,0,10,21 0.245.33.79,203.162.168.169 ,0.0.0.0,0,0,16,25,6,0,0,0,22,18403,0

1159203005,255251082,2115774540,4,1,40,2115758897,2115758897,0,10,58 186.181.113,222.255.15.6

,203.162.119.121,0,48,16,2121,6,0,0,0,22,18403,0

1159203005,255251082,2115774540,4,1,54,2115758574,2115758574,0,10,125 234.59.174,222.255.39.107

,203.162.231.233,0,37,16,21,6,0,0,0,22,7552,0

1159203005,255251082,2115774540,4,2,138,2115760852,2115760883,0,10,20 3.210.221.96,203.113.148.249

,218.100.14.8,0,2,16,161,17,0,0,0,22,0,7552

1159203005,255251082,2115774540,4,2,80,2115758609,2115758611,0,10,58 186.127.32,203.162.35.99 ,203.162.3.142,0,29,16,80,6,0,0,0,22,18403,0

1159203005,255251082,2115774540,4,5,851,2115760670,2115760813,0,10,22 2.255.121.175,58.187.151.46

,203.162.200.197,0,21,16,2603,6,0,0,0,22,0,18403

1159203005,255251082,2115774540,4,4,429,2115759250,2115759467,0,10,21

0.245.0.22,203.162.136.91

,203.162.3.142,0,29,16,44537,6,0,0,0,22,18403,0

1159203005,259263936,2115774544,4,1916,1102405,2115375551,2115762176, 0,10,210.245.24.33,203.162.170.1

,203.162.200.197,0,21,16,3749,6,0,0,0,22,18403,0

1159203005,259263936,2115774544,4,63,85065,2115747111,2115754824,0,10 ,210.245.31.36,203.162.3.153

,203.162.3.153,0,29,16,35288,6,0,0,0,22,18403,0

1159203005,259263936,2115774544,4,2,80,2115748614,2115758724,0,10,58 187.46.131,222.255.120.168

,203.162.3.142,0,29,16,80,6,0,0,0,22,18403,0

1159203005,103296660,2115774544,4,1,40,2115758968,2115758968,0,10,125 214.53.69,222.255.121.179

,203.162.3.142,0,29,16,80,6,0,0,0,22,24086,0

1159203005,103296660,2115774544,4,47,1880,2115758570,2115759112,0,10, 58.187.86.154,203.162.163.51

,203.162.3.142,0,29,16,80,6,0,0,0,22,18403,0

1159203005,103296660,2115774544,4,6,1690,2115759130,2115759232,0,10,2 22.255.120.162,58.187.150.87

,203.162.200.201,0,14,16,1634,6,0,0,0,22,0,18403

1159203005,103296660,2115774544,4,6,1690,2115759274,2115759432,0,10,2 22.255.120.162,58.187.150.87

,203.162.200.201,0,14,16,1635,6,0,0,0,22,0,18403

Dữ liệu Log VNIX thu ñược ở dạng có cấu trúc (gồm 24 trường)

Các trường thuộc tính

STT Tên trường ðịnh nghĩa

1 UNIX_SECS Thời gian hiện tại (tính bằng giây) bắt ñầu từ

năm 1970

2 UNIX_NSECS Thời gian còn dư (tính bằng nanoseconds) bắt

ñầu từ năm 1970

3 SYSUPTIME Thời gian hiện tại (tính bằng miliseconds từ khi

rounter ñược boot)

address)

5 DPKTS Số Packet gửi trong một quá trình (thời gian tính

bằng milliseconds giữa packet thứ nhất và

packet cuối cùng trong một lưu lượng)

6 DOCTETS Số Byte ñược gửi ñi trong một quá trình (thời

gian tính bằng milliseconds giữa packet thứ nhất

và packet cuối cùng trong một lưu lượng)

7 FIRST Giá trị của SYSUPTIME tại thời ñiểm bắt ñầu

một lưu lượng (từ khi rounter ñược boot ñến khi bắt ñầu lưu lượng)

packet cuối cùng của lưu lượng (từ khi rounter

ñược boot ñến khi gửi một packet cuối cùng

trong lưu lượng)

9 ENGINE_TYPE Type of flow switching engine RP=0 and LC=1

10 ENGINE_ID Slot number of the flow switching engine

Telnet, etc.,or equivalent)

17 DSTPORT TCP/UDP destination port number (.e.g, FTP,

Telnet, etc.,or equivalent)

17=UDP, etc )

19 TOS Loại dịch vụ (IP Type Of Service)

20 TCP_FLAGS Phép toán OR of tcp flags

Bảng 1 Cấu trúc thông tin netflow -1

Các ñịnh nghĩa thêm về các trường thuộc tính

NEXTHOP : thường ñược gọi là default gateway và ñược cung cấp bởi

các ISP

INPUT: flow endpoints are identified by the input interface identifier to

uniquely identify flows

Các thông số về ñặc ñiểm kỹ thuật của nguồn, ñích

Bảng 2 Cấu trúc thông tin netflow -2

Các thông số về ñặc ñiểm kỹ thuật liên quan ñến routing và peering

1 EXADDR Exporter IP address, (Export datagram source IP

address)

2 ENGINE_TYPE Type of flow switching engine RP=0 and LC=1

3 ENGINE_ID Slot number of the flow switching engine

Bảng 3 Cấu trúc thông tin netflow -3

Các thông số về thời gian

1 UNIX_SECS Thời gian hiện tại (tính bằng giây) bắt ñầu từ

năm 1970

2 UNIX_NSECS Thời gian còn dư (tính bằng nanoseconds) bắt

ñầu từ năm 1970

3 SYSUPTIME Thời gian hiện tại (tính bằng miliseconds từ khi

rounter ñược boot)

4 FIRST Giá trị của SYSUPTIME tại thời ñiểm bắt ñầu

một lưu lượng (từ khi rounter ñược boot ñến khi bắt ñầu lưu lượng)

5 LAST Giá trị của SYSUPTIME tại thời ñiểm gửi packet

cuối cùng của lưu lượng (từ khi rounter ñược boot ñến khi gửi một packet cuối cùng trong lưu lượng)

Bảng 4 Cấu trúc thông tin netflow -4

Các thông số về dữ liệu

1 DPKTS Số packet gửi trong một quá trình (thời gian tính

bằng milliseconds giữa packet thứ nhất và packet cuối cùng trong một lưu lượng)

2 DOCTETS Số Byte ñược gửi ñi trong một quá trình (thời

gian tính bằng milliseconds giữa packet thứ nhất

và packet cuối cùng trong một lưu lượng)

Bảng 5 Cấu trúc thông tin netflow -5

Các thông số về chất lượng dịch vụ (QoS)

1 TOS Loại dịch vụ (IP Type Of Service)

Bảng 6 Cấu trúc thông tin netflow -6

Các thông số về ứng dụng

1 SRCPORT TCP/UDP source port number (.e.g, FTP, Telnet,

etc.,or equivalent)

2 DSTPORT TCP/UDP destination port number (.e.g, FTP,

Telnet, etc.,or equivalent)

17=UDP, etc )

4 TCP_FLAGS Phép toán OR of tcp flags

Bảng 7 Cấu trúc thông tin netflow -7

3 Kết luận:

- Qua ñó ta thấy có rất nhiều thông tin chúng ta chưa thực hiện khia thác triệt ñể mặc dù nó hoàn toàn nằm trong phạm vi khai thác

ñược và thậm chí là có thể khai thác hiệu quả

- Việc xây dựng một hệ thống thu thập phân tích số liệu ở trên là việc làm hết sức cần thiết trong thời ñiểm hiện nay Nếu ñược ñầu

tư khai thác phân tích thì chúng ta sẽ có một nguồn thông tin vô cùng phong phú, phục vụ cho công tác thông kê, dự báo trong hoạt

ñộng nghiệp vụ khai thác, xây dựng mạng lưới kịp thời, ñáp ứng ñược nhu cầu của người dùng Hơn thế nữa nó còn là những con số

phản ánh trung thực hiện trạng sử dụng Internet ở Việt Nam, chúng

ta có thể sử dụng ñể xây dựng kế hoạch phát triển kinh tế xã hội của ñất nước

- Phần tiếp theo chúng ta sẽ ñi vào phân tích giải pháp thu thập, xử

lý số liệu khai thác qua hệ thống VNIX và DNS

Ph ầ n 2 Gi ả i pháp xây d ự ng h ệ th ố ng thu th ậ p, l ư u tr ữ

nh ậ t ký h ệ th ố ng DNS qu ố c gia và h ệ th ố ng VNIX

I Giải pháp thu thập log DNS

1 Thu thập log trên từng máy chủ DNS

Cách duy nhất có thể thu thập số liệu truy vấn DNS là bật chế ñộ ghi lại nhật ký truy vấn DNS của phần mềm máy chủ DNS, chúng ta chỉ cần thêm các lệnh sau vào file cấu hình named.conf của phần mềm DNS server, trong trường hợp này là phần mềm BIND

2 Sơ ñồ hệ thống thu thập log DNS tập trung

Như ñã phân tích ở phần 1, hệ thống DNS quốc gia có nhiều máy chủ ðể

có thể thu thập log ñược từ nhiều máy chủ, chúng tôi xây dựng hệ thống thu thập log tập trung sử dụng syslog Thông tin truy vấn tên miền của khách hàng gửi tới các máy chủ DNS của VNNIC sẽ ñược ghi lại, gửi qua syslog ñến máy chủ sysog server, máy chủ này sẽ lưu lại toàn bộ các log nhận ñược

Hình 16 Thu thập log DNS tập trung

Hiện nay, các hệ thống log trên thế giới sử dụng một số công cụ thu thập

và tập trung dữ liệu log như:

giá là tốt nhất và ñược sử dụng rộng rãi trong các hệ thống UNIX hiện nay

http://www.balabit.com/products/syslog_ng/

LINUX, có cơ chế lọc kém hơn sản phẩm trên

các hệ thống Windows :

http://www.kiwisyslog.com/info_syslog.htm

- snare agent: Sản phẩm của hãng intersectalliance cho nhiều platform

khác nhau như UNIX, Linux, Windows (bản dành cho Client miễn phí) http://www.intersectalliance.com/projects/SnareWindows/index.html

Chúng tôi chọn giải pháp sử dụng phần mềm syslog-ng, ñây là phần mềm

ñược ñánh giá là số 1 trong các phần mềm syslog, cung cấp giải pháp lưu

trữ log tập trung, an toàn Việc truyền thông tin từ các máy chủ ñến log server tập trung có thể truyền dạng clear text hoặc bảo mật bằng SSL

Mô hình truyền thông giữa một máy chủ DNS và máy chủ log tập trung

sử dụng Syslog-ng

Hình 17 Mô hình thu thập log qua syslog

Mã hóa thông tin truyền tới syslog-ng sử dụng SSL

1 Cài ñặ t stunnel và syslog-ng trên t ấ t c ả các máy

2 T ạ o ch ứ ng ch ỉ s ố trên t ấ t c ả các máy, s ử d ụ ng l ệ nh sau v ớ i quy ề n root:

# cd /usr/share/ssl/certs

# make syslog-ng-server.pem

# make syslog-ng-client.pem

3 Copy ph ầ n khóa công khai trong file syslog-ng-server.pem lên t ấ t c ả các máy trong

th ư m ụ c /etc/stunnel Trên server t ạ o 1 file syslog-ng-client.pem ch ứ a t ấ t c ả các

ch ứ ng ch ỉ s ố c ủ a các client vào th ư m ụ c /etc/stunnel

4 Thay ñổ i ch ế ñộ phân quy ề n c ủ a file trên ñể ch ỉ có root m ớ i có quy ề n ñọ c và ghi

5 Trên máy ch ủ , t ạ o file /etc/stunnel/stunnel.conf ch ứ a thông tin c ấ u hình c ủ a stunnel:

connect = <IP của máy chủ>:5140

6 Trên server t ạ o file /etc/syslog-ng.conf:

destination remoteclient {file("/var/log/remoteclient");};

destination dest {file("/var/log/messages");};

log {source(src); destination(dest);};

log {source(stunnel); destination(remoteclient);};

Trên máy client t ạ o file /etc/syslog-ng.conf:

options {long_hostnames(off);

sync(0);};

source src {unix-stream("/dev/log"); pipe("/proc/kmsg");

internal();};

destination dest {file("/var/log/messages");};

destination stunnel {tcp("127.0.0.1" port(514));};

log {source(src);destination(dest);};

log {source(src);destination(stunnel);};

7 M ở các c ổ ng (port) c ầ n thi ế t trong các ph ầ n m ề m l ọ c gói tin và TCP wrappers

8 Trên t ấ t c ả các máy ch ạ y l ệ nh sau:

# stunnel

# syslog-ng -f /etc/syslog-ng.conf

II Giải pháp thu thập log VNIX

Như ñã phân tích ở phần 1, ñể có thể lấy ñược thông tin trao ñổi trên mạng VNIX, cách tốt nhất hiện nay là sử dụng Netflow ñể kiết xuất thông tin từ thiết bị ñịnh tuyến, sử dụng phần mềm thu thập trên máy chủ thu thập ta sẽ lấy ñược toàn bộ thông tin ñể lưu trữ sau này

1 Mô hình thu thập, lưu trữ luồng dữ liệu trao ñổi qua VNIX